Добрый день. Подскажите пожалуйста, если кто сталкивался. Ситуация - с одной стороны zyxel vpn 300 дхцп, сети разные все хорошо и два свича там же - gs1920 (2шт) .... со второй стороны zyxel usg40 дхцп, сети разные? там же - gs1920 (1шт). Это разные здания у каждого свой провайдер своя статика. Между ними протянута оптика, и соответственно если со стороны zyxel vpn 300 в тыкнуть в свич оптику и с другой стороны в свич оптику - то usg 40 теряется и все идет в сеть там где VPN 300.
Вопрос - Можно ли
там где стоит usg 40 и свич gs1920(1шт) на свиче как то отрезать например порты 17-25. В настройках свича??? то-есть что бы порты 17-25 не как не пересекались с портами 1—16 - то есть сделать в свиче свич? - мануал читал - не нашел или так можно, сейчас разруливается двумя свичами, а хотелось бы одним разрулить. В какую сторону смотреть?
Можно, vlan с этой задачей прекрасно справиться
Андрей🌐
master
Хорошо, я еще раз проверю вланы - пока что не играет, а вопрос - можно ли на свиче как-то отрезать порты - сделать свич в свиче GS1920 ?
Например для того что бы не использовать влан - кто то такое делал?
Андрей🌐
Так собственно влан это и есть свич в свиче
Андрей🌐
Советую для более ясной картины нарисовать себе топологию сети, распределить вланы по портам, определиться с транковыми портами, пробросить это всё в usg и vpn.
master
Та да... я просто про то что может там галочки поставить типа 17-25 не дружить с 1-16
Потому что, usg 40 дает главный влан 1 на порты 1-16 и на порты 1-8 тегерирует влан 11.... А VPN 300 дает влан 1 и тегерирует куча вланов - так вот на те порты 17-25 надо дать как влан 19 так и влан 1
И выходит что в свиче будет два влана 1 - что бы ть не может
master
VPN 300 GS 1920 vlan 1 9 11 19 ———— USG 40 GS1920 vlan 1 11 19
Андрей🌐
аА для лучшей маршрутизации и масштабируемости разделить филиалы на подсети, а трафик пускать через маршрутизаторы, которые будут знать друг о друге по другому vlan в котором только они и будут, замарочено, но зато петель не будет да и масштабировать можно
master
Да - заморочено думаем над этим - решение пока что доставить свич для влан 1 - но вопрос или можно разделить свич GS1920 грубо говоря на пополам что бы запихнуть два одинаковых за номером влана с разных шлюзов - кот-то "розрезал" порты на свиче? Что бы в одном свиче от USG 40 на портах 1-16 был влан1 с сороковки и на портах 17-25 влан 1 но с VPN 300
Тоесть я хочу один свич розделить на два шлюза, для этого надо розделить порты на свиче но не только вланами а как-то еще их отградить один от другого
Андрей🌐
Андрей🌐
Андрей🌐
Андрей🌐
Андрей🌐
и так можно поделить 1 коммутатор на 20 независимых подсетей, ну в зависимости сколько портов, в моем случае можно на 48 подсетей)
Андрей🌐
Андрей🌐
вам надо к примеру usg ввести во влан 1, а vpn во влан 2, иначе никак
Андрей🌐
это если в одни коммутатор
master
Да... схема ок, спасибо. Это правильно, логично, и это в мануалах указывается.... А вот Один свич использовать на два шлюза походу не выйдет
master
Запихнуть в один свич два влана под одним номером от разных шлюзов
master
master
как то так, для визуализации
master
С вланами все понятно, жаль что GS 1920 не разделить иначе, будем нарезать вланы заморачиваться в сложную схему, пока что розрулил 8ми портовый свич физически отдельный. То есть в шкаф к USG 40 и GS1920 добавили свич куда воткнули оптику от VPN 300 и как бы вопрос закрыт, свои функции делает и хорошо, я просто думал что можно для этого юзать один свич ибо там полно пустых портов... но нет
master
Спасибо
Андрей🌐
С вланами все понятно, жаль что GS 1920 не разделить иначе, будем нарезать вланы заморачиваться в сложную схему, пока что розрулил 8ми портовый свич физически отдельный. То есть в шкаф к USG 40 и GS1920 добавили свич куда воткнули оптику от VPN 300 и как бы вопрос закрыт, свои функции делает и хорошо, я просто думал что можно для этого юзать один свич ибо там полно пустых портов... но нет
Вообще лучше заморочиться и настроить как надо, дабы у другого админа волосы дыбом не встали, и 8 портовики такое себе в центре событий, пропускная способность в разы меньше чем у нормальных 24-48.
Андрей🌐
А вообще можно разрулить и на одном коммутаторе, просто для vpn300 настроить аксесный влан2
master
нет, скорее всего на 40вке аксесний влан2, ибо к 300тке куча всего подключено, дикого и не умного
Андрей🌐
Или так
master
Еще вопрос, а как на 40вке убрать влан1 и перевести все на влан2? - то есть на сети убрать дхцп (лан1 дхцп офф) и сделать Vлан2, в нем дхцп и интерфей указать лан1 ?
master
Как искоренить vlan1 с usg40 ?
Андрей🌐
На лан1 убрать дхцп, изменить ip на любой, к примеру 10.10.10.10/32, и на этот лан1 создать влан2 с нужными настройками.
Андрей🌐
Искоренить влан1 не получится, можно только "приглушить")
master
Спасибо, уже делаю :)
Андрей🌐
Но тогда на коммутаторе gs1920 надо порт смотрящий в лан1 сделать транком
Андрей🌐
А вообще можно не преренастраивать лан1, а просто подписать порт на gs1920, смотрящий в лан1, нужным влан без тега и транка
master
А приглушить это как? Я все к той схеме что бы юзать один 1920 на два шлюза, я сейчас глушу Влан1 на 40вке, делаю влан2, и там влан 11
А на 300тке влан1 живет и там другие
Втыкаю в 1920 и 300тку и 40вку и они себе мирно живут, сороковка имеет свой ВАНканал и раздает нет на Влан2 устройства и Влан 11 а 300тка имеет свой ВАН и роздает нет на устройства Влан1 и другие (там влан9 и т.п.) через один свич
А на свиче указываю - влан2 (порт 1-8) влан 11 (порт 9-16) - это от 40вки
и Влан 1, и влан 9ть на порт 17-25 от 300тки
Андрей🌐
Эм, на 40-ке получается несколько вланов?
Андрей🌐
Чтобы работал влан 2 и 11 надо чтоб они видели порт 40-ки, к примеру: влан2 - порты 1-8, где 1 транк, влан11 - порты 1,9-16, гдет 1 транк
Андрей🌐
Влан 11 ведь на лан1 висит?
master
Да на 40ке вланов два, сейчас влан1 и влан11
master
Порт 1-16 (1-8 влан1 и влан 11 порт 8-16 только влан1)
master
То-есть 1-8 тегерированы два влана влан1 и влан11 9-16 не тегерированы просто влан1 - сейчас так и это к 40вке
Андрей🌐
Понял, значит 8 порт gs1920 надо сделать транком, хотя он наверняка уже настроен, следовательно для влан2 надо тоже настроить 8 порт как транк
master
Порты 17-28 не назначены вообще, если пихнуть в 25тый порт оптику от 300тки - 40вка пропадает - все весело получают все от 300тки потому 300тка дает влан1
master
Что-то я запутался - у меня на 40ке живет влан1 с порта 1-16 и влан 11 с порта 1-8 - то есть на портах 1-8 втыкнуты точки доступа (вифи) а на портах 9-16 компы рабочих этого здания (отеля)
master
А порты 17-28 свободны
Андрей🌐
С 1-8 влан2, тегом в 8 порт, и всё будет хорошо, только чтобы 40 видел 300, надо им тоже влан какой между ними, а то они вообще раздельно будут
master
Вот
master
надо что бы они раздельно себе были
master
им нет надобности видить друг друга - ну то есть это не проблема - но задача не стоит их обединять
Андрей🌐
Значит запретить влан1 на gs1920 на порты 1-16
master
Вот, а как его запретить если 40вка дает влн1 по дефолту
Андрей🌐
И топология такая: влан2 - порты 1-8, где 8 транк, влан11 - порты 8-16, гдет 8 транк
Андрей🌐
И топология такая: влан2 - порты 1-8, где 8 транк, влан11 - порты 8-16, гдет 8 транк
Можно 8 порт подписать как влан2 без тега
master
сделать влан2 на физ.порт лан1 (на порту физ лан1 дхцп выключить) а на влан2 включить, но сказали что влан1 не убрать
Андрей🌐
Точнее просто подписать
Андрей🌐
сделать влан2 на физ.порт лан1 (на порту физ лан1 дхцп выключить) а на влан2 включить, но сказали что влан1 не убрать
Лучше так, и gs естественно настроить
Андрей🌐
На gs настройки влан2 будут аналогично настройкам влан11, только порты другие
Андрей🌐
И на самом gs влану1 запретить порты с 1 по 16
Андрей🌐
Forbidden поставить
Андрей🌐
master
Хорошо, логика понятна, спасибо за совет - щас будем делать, и последние,
как после проделанного запретить влан2 и влан 11 те что будут на GS1920 лезть через 25тый порт который оптика, в сеть к 300тке... ну они не подерутся, и в теории если 25й на свиче четко прописать влан1 и влан 9ть с двух сторон то другое не полезет... наверное, спасибо - буду пробовать
master
master
я делаю управлением статическими вланами
Андрей🌐
Андрей🌐
Хорошо, логика понятна, спасибо за совет - щас будем делать, и последние,
как после проделанного запретить влан2 и влан 11 те что будут на GS1920 лезть через 25тый порт который оптика, в сеть к 300тке... ну они не подерутся, и в теории если 25й на свиче четко прописать влан1 и влан 9ть с двух сторон то другое не полезет... наверное, спасибо - буду пробовать
А это уже в самом влан на ненужный порт поставить forbidden
Андрей🌐
master
Тут обязательно с 1 по 16 убрать единичку, с 1-8 поставить 2, с 9-16 - 11
Убрать 1 и поставить в моем случаи 2 - верно
Андрей🌐
Да
master
Спасибо за помощь, я понял, в теории дошли до того что хотели - я пошел делать, думаю выйдет, убераю дхцп на 40вке, делаю влан2 он и будет дхцп и на свиче нарезаю статические вланы на порты 1-16 - на все влан2 на 1-8 тегерирую влан 11 и все. В 25тый порт тыкаю оптику, делаю его агрегированым и влан ему влан1 и влан9
на 300тке на ее свичах - делаю влан 9ть и влан1 там по дефолту - порт 25, агрегированый, с вланом1 и 9ть - тыкаю оптику
и вуаля - кусочек свича на 40ке переходит в контроль 300тки не некто не скем не дереться
в теории... спасибо за помощь
master
master
Грубо - схему обрисовал
master
Андрей🌐
Vlan11 присвоен к интерфейсу DMZ?
Aslan
Мультигигабит для дома - https://www.zyxel.com/ru/ru/products_services/12-Port-Web-Managed-Multi-Gigabit-Switch-with-2-Port-2-5G-and-2-Port-10G-SFP--XGS1210-12/
Привет!
Маловато отзывов на маркете. Кто собирал на этой железке мультигигабит? Интересует, можно ли будет одновременно все порты задействовать по полной, или есть узкие места вроде каналов между чипами.
Если пошлёте читать мануалы - дорогу найду 😊
Dmitry
Dmitry
конкретно по вопросу ответить не могу, надо смотреть и тестировать конечно, у вас задача нетривиальная
Aslan
Dmitry
всегда пожалуйста, чем богаты...